Microsoft 365 : activer l’alerte « Destinataire externe » (MailTip) dans Outlook/OWA + alternatives

Affichez un avertissement clair lors de l’ajout d’un destinataire externe dans Outlook/OWA. Ce guide explique l’activation du MailTip « Destinataire externe », ses limites, des alternatives personnalisables (règle de transport, bannière HTML), et un plan de déploiement robuste avec dépannage.

Activer l’avertissement « Destinataire externe » (MailTip) dans Microsoft 365

Problème

Alerter automatiquement les collaborateurs lorsqu’ils ajoutent une adresse hors de l’organisation dans un nouveau message Outlook/OWA.

Prérequis

• Rôle Exchange Administrator ou Global Administrator.
• PowerShell 5.1+ ou PowerShell 7.x, avec ExecutionPolicy autorisant l’exécution des scripts (au moins pour l’utilisateur courant).
• Module ExchangeOnlineManagement.
• Boîtes aux lettres hébergées dans Exchange Online (Microsoft 365).

Solution pas‑à‑pas

1. Ouvrir Windows PowerShell en administrateur (compte « Global Admin »).
2. Installer/charger le module Exchange Online : Set-ExecutionPolicy RemoteSigned # 1ʳᵉ fois uniquement Install-Module ExchangeOnlineManagement Import-Module ExchangeOnlineManagement
3. Se connecter : Connect-ExchangeOnline
4. Activer le MailTip à l’échelle du tenant : Set-OrganizationConfig -MailTipsExternalRecipientsTipsEnabled $true
5. Vérifier : Get-OrganizationConfig | Select MailTipsExternalRecipientsTipsEnabled
6. Délai de propagation : jusqu’à 24 h avant d’apparaître dans Outlook, OWA, Outlook Mobile, etc.

Points clés

• Paramètre global (non déclinable par service ou groupe).
• Nécessite un client Outlook moderne connecté à Exchange Online (pas de support pour des clients POP/IMAP basiques).
• Ne bloque pas l’envoi : c’est un conseil visuel au moment de la rédaction.

Comportement côté clients

Client	Affichage de l’avertissement	Remarques
Outlook sur le web (OWA)	Oui, en sur‑bannière dans la fenêtre de composition	Actualisation rapide après activation du paramètre.
Outlook pour Windows (interface moderne)	Oui	Peut nécessiter un redémarrage et/ou un délai de cache.
Outlook pour Mac	Oui	Affichage sous forme de MailTip lors de la saisie des destinataires.
Outlook Mobile (iOS/Android)	Oui	Le message d’avertissement peut être plus succinct.
Clients POP/IMAP ou SMTP « simples »	Non	Pas de MailTips ; l’avertissement n’est pas disponible.

Bon à savoir : le libellé de l’avertissement est localisé par Microsoft selon la langue du client (ex. FR/EN/ES) et n’est pas éditable nativement.

Désactivation / retour arrière

Set-OrganizationConfig -MailTipsExternalRecipientsTipsEnabled $false

---

Personnaliser le texte de l’alerte : limitations et alternatives

Le MailTip « Destinataire externe » a un libellé imposé par Microsoft. Pour un message personnalisé (charte, langue, consignes internes), utilisez l’une des alternatives ci‑dessous.

Option	Possibilités	Limites
MailTipsExternalRecipients (solution ci‑dessus)	Activation/désactivation globale	Texte non modifiable : libellé imposé par Microsoft.
Mail flow rule (Transport Rule)	Ajout d’une bannière HTML personnalisable, d’un préfixe d’objet (ex. « [EXTERNE] ») ou d’un pied de page dès qu’un destinataire externe est détecté.	L’avertissement apparaît à l’envoi (ou dans le mail envoyé/réception), pas pendant la rédaction.
MailTip individuel (Set-MailContact/-Mailbox -MailTip)	Message sur mesure pour un contact ou une boîte interne (ex. boîtes sensibles).	Ne s’applique pas aux adresses externes inconnues de l’annuaire ; gestion manuelle.
Add‑in Outlook / Sensitivity Labels (MIP)	Scénarios avancés (pop‑up bloquant, workflow d’approbation, classification automatique).	Développement tiers ou licences supplémentaires, déploiement plus lourd.

Exemple A — Bannière HTML via une règle de transport

Objectif : afficher une bannière claire au début du message dès qu’au moins un destinataire externe est présent.

1. Centre d’administration Exchange > Flux de messagerie > Règles : créer une nouvelle règle.
2. Condition : Le destinataire est situé à l’extérieur de l’organisation.
3. Action : Appliquer un avertissement/disclaimer HTML au début du message.
4. Mesure de secours : Envelopper le message si le HTML ne peut pas être appliqué (messages S/MIME signés/encryptés).
5. (Optionnel) Exceptions : domaines partenaires approuvés.

Version PowerShell :

$html = @'
<table role="presentation" width="100%" cellpadding="0" cellspacing="0" 
       style="font-family:Segoe UI,Arial,sans-serif;font-size:14px;border-collapse:collapse;margin:0 0 8px 0;">
  <tr>
    <td style="border:2px solid #d13438;border-radius:4px;padding:10px;">
      <strong>Destinataires externes détectés</strong> — 
      Vérifiez les adresses, les pièces jointes et les informations sensibles avant d’envoyer.
    </td>
  </tr>
</table>
'@

New-TransportRule -Name "Alerte destinataires externes (HTML)" `  -FromScope InOrganization`
-SentToScope NotInOrganization `  -ApplyHtmlDisclaimerText $html`
-ApplyHtmlDisclaimerLocation Prepend `  -ApplyHtmlDisclaimerFallbackAction Wrap`
-Enabled $true 

Bonnes pratiques :

• Préférez un HTML sobre (pas d’images distantes, pas de scripts).
• Utilisez Wrap comme action de secours pour préserver les messages S/MIME.
• Documentez clairement aux utilisateurs que l’alerte peut apparaître au moment de l’envoi.

Exemple B — Préfixe d’objet « [EXTERNE] »

Un préfixe d’objet aide à repérer visuellement les messages sortants vers l’extérieur (ou entrants depuis l’extérieur, selon le sens de la règle).

New-TransportRule -Name "Préfixe EXTERNE sortant" `
  -FromScope InOrganization `
  -SentToScope NotInOrganization `
  -PrependSubject "[EXTERNE] " `
  -ExceptIfRecipientDomainIs "partenaire1.com","partenaire2.eu"

Attention : le préfixe ne remplace pas la vigilance face aux tentatives d’usurpation d’identité. Combinez‑le avec des protections anti-phishing et, au besoin, avec l’étiquette « Expéditeur externe » (Set-ExternalInOutlook -Enabled $true) pour les messages entrants.

---

Recommandations de déploiement

1. Pilote restreint
   • Activez le MailTip dans un environnement de test, puis sur un échantillon d’utilisateurs (IT, champions).
   • Vérifiez l’affichage dans Outlook Windows, OWA et Outlook Mobile.
2. Communication interne
   • Partagez une capture de l’avertissement (OWA et Outlook) et un message simple : « Ce pictogramme indique que des destinataires externes sont ajoutés. Relisez le message et vérifiez les pièces jointes. »
   • Rappelez les consignes DLP (documents confidentiels, listes de diffusion externes, erreurs d’adresse).
3. Suivi post‑déploiement
   • Surveillez les tickets Service Desk liés aux envois externes.
   • Exploitez les tableaux de bord du Centre de conformité (DLP/insights) pour confirmer la baisse des incidents.
4. Compléments éventuels
   • Si l’avertissement visuel ne suffit pas, ajoutez une règle de transport avec bannière HTML ou préfixe d’objet.
   • Pour des processus d’approbation ou de justification avant envoi, envisagez un add‑in ou des Sensitivity Labels.

---

Bonnes pratiques de sécurité & conformité

• Évitez les exceptions trop larges (whitelist de domaines externes non maîtrisés).
• Combinez le MailTip avec la détection d’expéditeur externe pour les mails entrants et avec des politiques DLP ciblant les pièces jointes sensibles.
• Conservez un design cohérent (couleurs/typo) entre bannière HTML, pied de page et notes de sécurité.
• Éduquez les utilisateurs : un avertissement n’empêche pas une erreur ; il incite à la relecture.

---

Dépannage (FAQ)

L’avertissement n’apparaît pas dans Outlook/OWA

• Vérifiez l’état : Get-OrganizationConfig | fl MailTipsExternalRecipientsTipsEnabled
• Assurez‑vous que les boîtes sont hébergées dans Exchange Online (pas en local sans hybrid modern auth complet).
• Laissez le temps de propagation (jusqu’à 24 h) et redémarrez Outlook.
• Contrôlez que l’utilisateur compose bien depuis une boîte M365 (et pas un profil IMAP/POP).

« Connect-ExchangeOnline » introuvable

• Installez/chargez le module : Install-Module ExchangeOnlineManagement -Scope CurrentUser -Force Import-Module ExchangeOnlineManagement
• Si l’installation échoue, mettez à jour PowerShellGet : Install-Module PowerShellGet -Force -Scope CurrentUser

Le texte affiché n’est pas celui que je souhaite

Le libellé du MailTip est fixe. Utilisez une règle de transport pour injecter un texte personnalisé (voir l’Exemple A).

Quid des groupes, Bcc et destinataires mixtes ?

• Groupes : si la règle/évaluation détermine qu’un membre est externe, l’avertissement peut s’appliquer.
• Bcc : un Bcc externe déclenche l’avertissement (évaluation côté serveur).
• Mixtes : dès qu’au moins un destinataire est externe, l’alerte s’affiche.

Impact sur la signature DKIM/DMARC/S/MIME

• Les MailTips n’impactent pas le message envoyé (visuel côté client).
• Les règles de transport modifient le message : utilisez Wrap en secours pour les messages S/MIME.

Puis‑je cibler des populations spécifiques ?

Le MailTip externe est global. Pour un ciblage fin, combinez bannière/objet via des règles de transport conditionnelles (service, groupe, attribut).

---

Modèles prêts à l’emploi

Modèle de bannière HTML (sobre et accessible)

<table role="presentation" width="100%" cellpadding="0" cellspacing="0" 
       style="font-family:Segoe UI,Arial,sans-serif;font-size:14px;border-collapse:collapse;margin:0 0 8px 0;">
  <tr>
    <td style="background:#fff0f0;border:2px solid #d13438;border-radius:4px;padding:10px;">
      <strong style="display:inline-block;margin-right:6px;">⚠ Destinataires externes</strong>
      Vérifiez les adresses, le contenu et les pièces jointes avant l’envoi.
    </td>
  </tr>
</table>

Modèle de message d’accompagnement (communication interne)

À partir d’aujourd’hui, Outlook affiche un avertissement lorsque vous ajoutez des destinataires hors de l’organisation. Cet indicateur sert à prévenir les envois par erreur. Merci de vérifier vos pièces jointes et d’éviter de partager des informations sensibles sans autorisation.

---

Checklist d’implémentation

• ✅ Compte avec rôle Exchange/Global Admin
• ✅ Module ExchangeOnlineManagement installé
• ✅ Set-OrganizationConfig -MailTipsExternalRecipientsTipsEnabled $true appliqué
• ✅ Tests sur OWA, Outlook Windows, Outlook Mobile
• ✅ Comms internes (capture + texte court)
• ✅ Décision sur l’ajout d’une règle de transport (bannière/objet) si nécessaire
• ✅ Suivi des incidents et ajustements

---

Comparatif rapide : MailTip vs Règle de transport vs Add‑in

Critère	MailTip externe	Règle de transport	Add‑in / Label sensible
Moment d’affichage	Pendant la rédaction	À l’envoi / sur le message	Pendant la rédaction (peut bloquer)
Texte personnalisable	Non	Oui (HTML/objet)	Oui (logique/UX riche)
Complexité de déploiement	Très faible	Faible à moyenne	Élevée
Blocage possible	Non	Conditionnel (règles)	Oui (workflow, approbation)
Ciblage fin par service	Non	Oui	Oui

---

Procédure complète (rappel condensé)

1. Ouvrez PowerShell en administrateur.
2. Installez/chargez ExchangeOnlineManagement. Set-ExecutionPolicy RemoteSigned Install-Module ExchangeOnlineManagement Import-Module ExchangeOnlineManagement
3. Connectez‑vous : Connect-ExchangeOnline
4. Activez le MailTip tenant‑wide : Set-OrganizationConfig -MailTipsExternalRecipientsTipsEnabled $true
5. Contrôlez l’état : Get-OrganizationConfig | Select MailTipsExternalRecipientsTipsEnabled
6. Préparez, si besoin, une règle de transport pour un message personnalisé (HTML/objet).

---

Résumé express

• Activez l’avertissement global via Set-OrganizationConfig -MailTipsExternalRecipientsTipsEnabled $true.
• Le libellé fourni par Microsoft n’est pas personnalisable.
• Pour un texte spécifique ou des actions plus strictes, utilisez une règle de transport, un MailTip par contact ou un add‑in/label.

---

Annexes — commandes utiles

# Vérifier d'autres paramètres MailTips (optionnel)
Get-OrganizationConfig | fl MailTipsAllTipsEnabled,MailTipsExternalRecipientsTipsEnabled,MailTipsLargeAudienceThreshold

# Lister les versions du module ExchangeOnlineManagement

Get-Module ExchangeOnlineManagement -ListAvailable | Sort-Object Version -Descending | Select Name,Version,Path

# Activer l’étiquette « expéditeur externe » (messages IN) — complément utile

Set-ExternalInOutlook -Enabled $true 

Avec ce dispositif, vos équipes disposent d’un signal visuel au bon moment (pendant la rédaction), d’une personnalisation possible à l’envoi, et d’un cadre d’adoption facilitant la réduction des envois accidentels vers l’extérieur.